~# n0tr00t Security Team

灯与塔

13 Oct 2013 - superhei

[+] Author: superhei
[+] Team: n0tr00t security team 
[+] From: http://www.n0tr00t.com
[+] Create: 2013-10-13

"’钱’不是’十字路口’的灯塔。如果是,那么灯塔肯定是黑产。0day走负责任披露流程的是大侠,另有一种可以说是隐侠,0day啥的只是他的一个自娱自乐的玩具。侠客手里的大炮并不可怕。所以对于大侠来说,不存在什么’灯塔’。你收购多少大侠漏洞,不代表就减少了’黑产’里的’土炮’带来的破坏。”这是我在7月1发的一条微博及背景是我们看到一位朋友针对他们公司推出的奖励计划的一篇“公关稿”或者说是“软文”,前面的某大会还专门配合这片文章还为某同学拍摄一个视频。 这里不提朋友及他写的文章的原因主要有如下几点:

引用这短话的主要是要说明的是:“’钱’不是’十字路口’的灯塔”!这里啰嗦插播下国庆期间曝光的某cms被0day批量黑站就侧面印证了这个观点。其实本文要提的是:我们前面发了点小财,也小小的体验了一把“土豪”的感觉。那就是我在TSRC推出的百万现金奖励计划里得到了第一个10万元的现金奖。如果我说TSRC这样平台及奖励计划是灯塔,好像又和前面提出的“’钱’不是’十字路口’的灯塔”相悖。“灯塔”是指引别人前进的明灯,一切能称为“灯塔”或者为灯塔工作的人和机构都是被尊重的,提到“尊重”记得在以前我写的blog里《负责的安全漏洞披露过程》,其实早就提到过一个问题:“给钱===尊重吗?” 貌似这个问题好像没多少人去关注了。

很早以前有个朋友问了一个我一个非常有意思的问题:“如果你或者你公司奖励了某人很多钱,而这个人不认同你们甚至还骂你们。你会怎么想?” 先要说明下问这个问题的朋友是我原来医院一位同事问的,与本文提到的任何公司或个人无关。不过这和我参与TSRC的经历还有点类似,所以这里就提到了这个问题。在我参与到TSRC报告提交漏洞后,我曾经被他们小伙伴评论为“最难缠的人”,我曾经说过一个句“名言”:“官方(甲方)都需要教育”。所以早期还是产生了不少的“矛盾”比如《我的地盘我做主–关于那183个xss》很多人以为我这个是针对TSRC、故意找茬的时候,我顺水推舟的写了后面的《给TSRC等甲方平台建设的一些建议》其实这颇有种“法海你不懂爱”的感觉!! 我们回到本段开头的那个问题。我当时的给他的答案大体意思是这样的:第一 我们先可反问下自己“为什么我们公司要奖励这个人?”,那肯定是这个人为我们公司或者我们公司客户带来了实际的价值,所以我们要奖励他。第二 要反问下“这个人为什么不认同我们还骂我们?他说的是有道理还是无理取闹!”,我想一般可以得到奖励的人不会太过于无理取闹。其实有这个问题的甲方或者个人,都没有搞清楚的一个问题:“给钱===尊重吗?” 最不应该的答案是:“我都给钱了,你们还想怎么样!”

如果说“尊重”才是我们要的“灯塔”,那么很多人会说“尊重”又不能当饭吃,给我“钱”就行!也会有很多人不自觉去对比,google一个xss可以5000刀,而国内就是一堆玩具!好吧,说得也非常有道理。另外去年我在和一帮帝都朋友吃饭得时候谈到一个问题:说我报告给TSRC等平台得漏洞太廉价了,如果是换从公司去做服务得话可能是很大一笔生意,我这个是在破坏市场!我的反驳是:“如果某个公司去搞服务不官多少钱,那都跟我们没关系。而TSRC这样的平台可以直接给我们这些屌丝、学生党带来实在收益”

那么我们“灯塔”是啥?如果我们把“灯塔”拆开为“灯”与“塔”,那么这个问题比较好理解?!我们可以把“钱”当“灯”,把“尊重”当塔。再亮的“灯”没有“塔”那也是百搭!对于TSRC这样的平台及背后工作的小伙伴们来说他们的主要工作就是建设好“塔”!也就是要缔造好这份“尊重”!这时候可能很多小伙伴说:我们都是非常尊重各位白帽子的!这个我是相信的,但是我们怎么才能把这份“尊重”表达出来,让白帽子们感知呢? 能承载这一任务的唯一途径那就是“沟通”!在各种“沟通”之前我们先思考下哪些才是“尊重”?我先说一下我遇到的一些例子。如:我给某浏览器厂商报告漏洞,在报告漏洞联系官方的时候,他们的工作人员表现得都非常积极,从总监到一些员工、从总公司到当事分公司都积极向我索要漏洞报告,这看上去非常“动人”,可惜到最后大半年过去了,没有一点反馈都没有于是我继续发邮件询问进度,开始还有人回应到后来也没搭理我!而最让我最郁闷的事情是我报告的漏洞并没有得到修补… 后来还有比较戏剧性的事情发生,他们官方有人联系我了,说要给我发礼物表示下感谢!于是我再测试了下我报告的漏洞,漏洞还是没有修补。我也就没有回应那个要发我礼物的信息了。 这里我想表达的是对我报告的漏洞不修补不处理还不反馈,这就是对我们极大的不尊重! 这点其实我在以往评论某公司“爱马仕”计划的时候也说了,因为他们剥夺了白帽子参与官方漏洞处理流程的权利,因为对与该计划来说他们根本不关心! 再比如:为什么我的漏洞被忽视呢?我提交的漏洞之前有人提过了,这是真的吗?为什么我们这个月积分第一,奖励的却是别人呢? ….

很都的时候主动的沟通,也是一种“尊重”的指标! 问题虽然不少,但是不能否认的是各个甲方平台都在觉醒并改进。尤其是TSRC可以明显感觉到一些进步。比如平台上各种沟通的途径“一键联系”等。比如很多漏洞评审遇到技术上不确定的事情,主动联系沟通等。再比如一些上层boss可以为了一些白帽子矛盾处理不恰当的事情出来说明、主动承认错误并道歉等等。这些都是“正能量”。另外对于我来说我更加高兴的是我提的那些漏洞及平台建设的建议很多都有采纳并应用,对提升他们的内功带来了帮助。

“钱”永远不是“十字路口”的灯塔!但是“钱”可以是“灯”,“尊重”才是“塔”!